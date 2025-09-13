Angriffe auf wichtige Versorgungseinrichtungen in Deutschland können entweder laut und spektakulär vor sich gehen. So wie die Brandanschläge auf zwei Hochspannungsmasten in Berlin, die kürzlich Tausende Berliner vom Strom abschnitten. Oder aber klammheimlich und leise, wie es etwa bei Hackerattacken auf Computeranlagen geschieht. Nach Einschätzung der Europäischen Union sind solche Cyberangriffe eines der Hauptrisiken für die europäische Volkswirtschaft. Brüssel hat deshalb reagiert und die NIS-2-Richtlinie entwickelt. Sie soll die Widerstandskraft von Staat und Wirtschaft gegen Cyberattacken deutlich erhöhen. Die deutsche Regierung ist gerade dabei, die Richtlinie in nationales Recht umzusetzen. Sie übertreibt es dabei aber offenbar sehr – zum Nachteil der heimischen Wirtschaft.

Die Richtlinie setzt strengere Sicherheitsanforderungen für Netz- und Informationssysteme (NIS) voraus. Sie sieht außerdem Meldepflichten bei Sicherheitsvorfällen sowie Sanktionen bei Verstößen vor. Ziel ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten EU „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen. Betroffen ist unter anderem die Chemiebranche mit mehreren hunderttausend Beschäftigten und Umsätzen in Milliardenhöhe. Christian Bünger ist Experte für Digitalisierung im Verband der Chemischen Industrie (VCI) und er sagt einerseits: „Dieses Vorhaben unterstützen wir, an dieses Thema muss der Gesetzgeber dringend ran.“ Auf der anderen Seite beobachtet der Experte eine Entwicklung, die die Regierung von Kanzler Friedrich Merz (CDU) eigentlich beenden wollte: Der Gesetzgeber setzt EU-Recht nicht einfach nur um, sondern macht es mit eigenen Ideen komplizierter, wie aus dem Entwurf für das NIS-2-Umsetzungsgesetz hervorgeht. Es wurden neue Begrifflichkeiten eingeführt, der Kreis der betroffenen Unternehmen hat sich dadurch deutlich erweitert, kritisiert der VCI.

Milliardenaufwand für die Wirtschaft

Die Kosten sind immens: Für den Bundeshaushalt entstehen einmalige Ausgaben in Höhe von rund 59 Millionen Euro sowie bis 2029 laufend jährlich rund 212 Millionen – mithin knapp eine Milliarde Euro. Die Wirtschaft trifft es noch härter als die Steuerzahler. Bei ihr fallen einmalig 2,2 Milliarden sowie jährlich 2,3 Milliarden Euro an Kosten an. Zuständig für die Aufsicht ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Der VCI warnt zudem vor dem geplanten Sanktionsregime. „Man hat sich hier an dem Bußgeldrahmen der Datenschutzgrundverordnung orientiert. Damit stehen zwei Prozent des weltweiten Jahresumsatzes als Bußgeld im Raum“, erklärte Bünger. „Dass man Bußgelder vorsieht, kritisieren wir nicht. Aber wir fordern hier Augenmaß.“ Grundsätzlich sind Unternehmen betroffen, die mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Umsatz haben. Wichtig ist das Wort „oder“ – es ist eine Idee der Bundesregierung, die den Kreis der Betroffenen ausweitet. Für kleinere Unternehmen könnte diese Bußgeldhöhe geschäftsschädigend sein. Brüssel will lediglich eine Und-Regelung.

Das Parlament bessert nach

Die VCI-Expertin für Anlagengenehmigungen, Verena Wolf, verwies auf einen anderen Schwachpunkt des deutschen Gesetzentwurfes. Derzeit sei noch nicht klar, „ob auch auf Behördenseite ein gleichermaßen hoher Schutz der Cybersicherheit umgesetzt wird, wie man es von uns verlangt“, sagte sie im Gespräch mit unserer Redaktion. Für die neuen Mitteilungs- und Registrierungspflichten gebe es nach Kenntnis ihres Verbandes außerdem noch keine entsprechenden Portale. „Wir würden uns wünschen, dass die Meldewege installiert sind, bevor das Gesetz in Kraft tritt. Wichtig ist zudem eine bürokratiearme Umsetzung.“

Die von NIS-2 betroffenen Unternehmen in Deutschland können sich indes Hoffnungen auf Verbesserungen machen. Im parlamentarischen Verfahren werde noch über einige Punkte zu reden sein, kündigte der SPD-Abgeordnete Johannes Schätzl an. Der CDU-Politiker Marc Henrichmann erklärte, der Gesetzentwurf sei ein Anfang, „aber noch nicht rund“. Es reiche nicht aus, nur die Bundesministerien und das Kanzleramt miteinzubeziehen. Auch die nachgeordneten Behörden des Bundes müssten erfasst werden, meinte Henrichmann.

Konstantin von Notz von den Grünen kritisierte, die Bundesregierung habe eine „völlig entkernte Vorlage“ vorgelegt. Es gebe kein Schwachstellenmanagement und auch keine Aufnahme der öffentlichen Verwaltung in den Bereich der kritischen Infrastruktur (Kritis).